Доступ к RDS внутри с тем же доменным именем, что и снаружи
У меня есть настройка сети с доменом AD 2008 2008, которая называется internal.domain.org. Наш внешний веб-сайт использует www.domain.org и domain.org. Я бы хотел, чтобы пользователи имели доступ к нашему серверу RDS - machinename.internal.domain.org - используя одно и то же доменное имя как внутри, так и вне локальной сети. Это будет remote.domain.org. Снаружи это достаточно просто, но внутри я потерялся. Пытаясь разделить DNS, легко получить remote.domain.org на внутреннюю машину RDS, но это нарушает доступ к внешнему веб-сайту изнутри локальной сети.
Кажется, проблема в том, что когда я создаю зону прямого просмотра под названием domain.org, он создает подпапку с именем internal вместо обычного набора папок. Я добавляю записи для * и www, но не могу попасть на улицу. Я вне моей лиги здесь. Какие-нибудь мысли?
Спасибо,
1 ответ
Используйте разделенный DNS (split horizon), но не на сервере с программным обеспечением Microsoft - это не работает.
На своем локальном DNS-рекурсоре / кэше вы обычно можете создать конкретное переопределение для полного доменного имени, которое сопоставляется с другим IP-адресом. Это добавляет ровно один CI к вашей CMDB и совсем не является необычным или сложным.
В зависимости от настроек, вы обычно делаете это в своей сетевой системе шлюзов. Например, в pfSense это можно сделать с помощью графического интерфейса в разделе Сервисы>DNS-сервер внизу. Поскольку вы не опубликовали то, что используете, я не могу привести пример для вашей системы.
Разрабатывая мой ответ:
Это точный случай того, почему DNS с разделенным горизонтом работает и необходим. Если у вас есть несколько точек входа в службу, которым для доступа к ней требуются разные IP-адреса, и вы используете полное доменное имя для доступа к ней, именно DNS решает эту проблему.
Обычно, есть 3 очень распространенных случая, когда в зависимости от места, где работает ваш персонал, играют:
- Локальный RDS в локальной сети, где RDS фактически доступен
- RDS через WAN, который требует использования WAN IP (который затем превращается из NAT в LAN IP для RDS)
- RDS через VPN, где VPN живет в собственной подсети и может иметь или не иметь доступ к локальной сети
Иногда, когда есть несколько VPN-соединений или туннелей, что может еще больше усложнить ситуацию. Во многих случаях это может быть решено с помощью маршрутизации и межсетевого экрана, но при этом создается гораздо больше элементов конфигурации, поэтому ваша CMDB будет просто заполнена ерундой каждый раз, когда вам нужно настроить службу так, чтобы она была доступна из нескольких мест.
Во многих настройках зону, для которой сервер Windows должен быть ответственным, можно просто настроить на главном маршрутизаторе, шлюзе или DNS-сервере, чтобы вы могли иметь одну высокопроизводительную единую точку конфигурации для всех ваших потребностей DNS. Единственным недостатком является то, что если клиентам по умолчанию требуются переносы зон или удаленные обновления DNS на DNS-сервер по умолчанию, он больше не будет работать. Это, однако, обычно больше не имеет место в клиент-серверных установках.
Сплит-DNS работает в этом случае просто так:
- Общедоступный DNS содержит запись A для соединений WAN
- Внутренний DNS содержит запись переопределения A для определенного полного доменного имени (remote.example.com)
Поскольку требуются только две разные записи DNS (общедоступная и локальная сеть), это легко и надежно настраивается. Нет необходимости в представлениях, подобных BIND, реализации представлений PowerDNS или Unbound с поддержкой перезаписи. Представления и Split-DNS не реализованы в Microsoft DNS, поэтому в данном случае это не вариант. (См. http://en.wikipedia.org/wiki/Comparison_of_DNS_server_software для сравнения)
На втором примечании: если у вас есть pfSense, вы можете просто создать L2TP через IPSec или OpenVPN туннель, чтобы люди могли иметь удаленный доступ. Хотя это требует установки программного обеспечения в клиентской системе, это устраняет необходимость в RDS, доступной по глобальной сети.